Wie fügen Sie CloudFront vor dem API-Gateway hinzu?

API-Gateway (APIG), während es verwendet CloudFront - (CF) - es unterstützt nicht edge-caching CDN. Wenn ich konfigurierte eine CF-Verteilung zu verwenden, APIG, wie das benutzerdefinierte Herkunft, bekomme ich einen permission denied-Fehler.

Wie Konfiguriere ich die CF dieses Problem zu beheben?

InformationsquelleAutor der Frage rynop | 2015-09-28

  1. 47

    Bis API-Gateway (APIG) unterstützt edge-caching über den internen Einsatz von CloudFormation (CF), ich habe einen workaround.

    Können Sie tatsächlich setzen Sie die CF-dist vor APIG, der trick ist, zu zwingen, nur HTTPS "Protokoll-Viewer Policy" UND, um uns nicht die HOST-header, weil APIG muss SNI.

    Richte ich mein CF "Standard-Cache-Verhalten-Einstellungen", um uns nicht alle Header, und gezwungen, die "Protokoll-Viewer Policy" auf "Nur HTTPS" und es funktioniert. Hoffe, das hilft anderen.

    Hier ist ein CloudFormation-Ressource-Objekt, das alle erforderlichen Konfiguration (Hinweis: ich benutze das übereinkommen <stage>--<app name> für StackName):

    CloudFront:  
    Type: AWS::CloudFront::Distribution
    Properties:
      DistributionConfig:
        Enabled: true
        IPV6Enabled: true
        HttpVersion: http2
        Comment: !Join [ '--', [!Ref 'AWS::StackName', ' Cloud Front']]
        Aliases: [!Ref CloudFrontCname]
        ViewerCertificate:
          AcmCertificateArn: !Ref AcmCertificateArn
          SslSupportMethod: sni-only
        Origins:
        - Id: APIGOrigin
          DomainName: !Sub
            - ${apigId}.execute-api.${AWS::Region}.amazonaws.com
            - { apigId: !Ref ApiGatewayLambdaProxy }
          OriginPath: !Sub
            - /${Stage}
            - { Stage: !Select [ "0", !Split [ '--', !Ref 'AWS::StackName' ] ] }
          CustomOriginConfig:
            # HTTPPort: 80
            HTTPSPort: 443
            OriginProtocolPolicy: https-only
          OriginCustomHeaders:
            - HeaderName: 'Verify-From-Cf'
              HeaderValue: !Ref VerifyFromCfHeaderVal
        DefaultCacheBehavior:
          AllowedMethods: ["DELETE", "GET", "HEAD", "OPTIONS", "PATCH", "POST", "PUT"]
          CachedMethods: ["GET", "HEAD", "OPTIONS"]
          ForwardedValues:
            Headers:
            - Access-Control-Request-Headers
            - Access-Control-Request-Method
            - Origin
            - Authorization
            # - Host APIG needs to use SNI
            QueryString: true
          TargetOriginId: APIGOrigin
          ViewerProtocolPolicy: https-only
          Compress: true
          DefaultTTL: 0
        CustomErrorResponses:
        - ErrorCachingMinTTL: 0
          ErrorCode: 400
        - ErrorCachingMinTTL: 1
          ErrorCode: 403
        - ErrorCachingMinTTL: 5
          ErrorCode: 500
  DNSARecord:    
    Type: AWS::Route53::RecordSet
    Properties:
      Comment: !Ref 'AWS::StackName'
      Name: !Ref CloudFrontCname
      Type: A
      HostedZoneName: !Join ['.', [ !Select [1, !Split ['.', !Ref CloudFrontCname]], !Select [2, !Split ['.', !Ref CloudFrontCname]], '']]
      AliasTarget:
        HostedZoneId: !Ref Route53HostedZoneId
        DNSName: !GetAtt CloudFront.DomainName
  DNSAAAARecord:    
    Type: AWS::Route53::RecordSet
    Properties:
      Comment: !Ref 'AWS::StackName'
      Name: !Ref CloudFrontCname
      Type: AAAA
      HostedZoneName: !Join ['.', [ !Select [1, !Split ['.', !Ref CloudFrontCname]], !Select [2, !Split ['.', !Ref CloudFrontCname]], '']]
      AliasTarget:
        HostedZoneId: !Ref Route53HostedZoneId
        DNSName: !GetAtt CloudFront.DomainName

    Updates:

    1. OriginProtocolPolicy zu https-only
    2. Jetzt mit YML!
    3. Mehr für die Produktion geeignet Beispiel SSL (nur DomainName nicht hart codiert, custom-header, um zu überprüfen, Anfragen kommen über CloudFrontCustomErrorResponses -, Edge-Gzip, Caching OPTIONS)

    InformationsquelleAutor der Antwort rynop

  2. 1

    Wenn API-Gateway gibt einen 403-Fehler mit:

    Authorization-header erfordert 'Berechtigung' parameter. Genehmigung
    header erfordert "Signatur" - parameter. Authorization-header erfordert
    'SignedHeaders' parameter. Authorization-header erfordert Existenz von
    entweder ein "X-Amz-Date' oder ein 'Date' - header.

    kann es auch sein, dass die Herkunft der Endpunkt ist falsch. Seltsam, "API-Gateway behandelt alle Fehler, die auf nicht-existente Pfade 403 permission denied-Fehler, anstatt eine 404 nicht gefunden Fehler." (siehe in diesem support-thread).

    Bekam ich diese Fehlermeldung und angenommen ich war falsch mit der Weiterleitung der Authorization-header, aber ich hatte einfach falsch konfiguriert die Herkunft Pfad.

    InformationsquelleAutor der Antwort Kevin

Schreibe einen Kommentar